勒索病毒的传播导致大量用户的重要文件被加密,360互联网安全中心针对勒索病毒进行了多方位的监控以及防御。从反馈数据分析本月勒索病毒的感染量处于下降状态,同时防黑加固相关数据显示对于弱口令爆破拦截的次数持续上升,且单日的拦截次数高达400多万次。
另外,本月更新的文件解密工具针对部分版本Satan勒索病毒提供了对应的解密支持。并已为受到此类病毒感染的受害者成功解密了大量重要文件。
感染用户数据从1月到7月份的反馈数据来看,受害者的数目在4月份之后一直在处于下降状态,卫士针对服务器勒索病毒的防御,有明显的效果。
图1.2018你那勒索病毒反馈趋势
从7月份的反馈数据来看,勒索病毒不再只是热衷于使用弱口令攻击来获取服务器权限,同时还利用了漏洞攻击尝试获取系统权限来加密用户机器上的文件。从本月的感染趋势看,勒索病毒的传播量并不稳定,而是呈现出周期性的波动。这个和它的传播方式有一定的联系,即:爆破服务器获取密码→登录服务器植入密码。
图2.7月份服务器勒索病毒感染趋势
针对被感染的系统进行分析,windows 7系统的感染量占比依然是占比最大。
图3.7月份被勒索病毒感染的系统分布
勒索病毒分析通过对7月份的反勒索服务数据进行统计,主流的勒索病毒家族还是GlobeImposter和Crysis两个家族。而且从本月的数据来看,GlobeImposter的占比已经高于Crysis家族的占比,之前反馈量较多的BTCWare家族在这个月开始已经没有任何反馈,同时新出现了关于Scarab家族的反馈。
图4.7月份勒索病毒占比
其中GlobeImposter家族和Crysis家族的手法和勒索病毒程序并没有多大变化,目前仍在使用的后缀如下表格(GlobeImposter家族的部分后缀为重启的较早前后缀,故虽然上月未出现但并非新增后缀):
家族 Crysis家族 GlobeImposter家族 后缀 arrow {eight1.hundred}ZYX bip ALCO java BOOTY nemesis BUNNY CHAK CHIEF crypted_katayama@cock_email FOOT FREEMAN TRUE+ WALKER YOYO CHIEF表格1.勒索病毒后缀
7月份仍在传播的勒索病毒中值得一提的是Satan家族的勒索病毒,该家族的勒索病毒在6月份开始爆发,在7月下旬的时候就被破解了。解密工具已经添加到了360安全卫士中的文件解密工具中。
下图是用户反馈提供的使用360文件解密工具进行解密的截图:
图5.使用360”文件解密”工具协助用户解密文件
该勒索病毒的传播在7月份中旬的时候传播达到最高点的,单天的拦截量达到800多次,此之后开始下降,在7月末出现解密工具时甚至到了一天0传播量。
图6.Satan攻击趋势图
另外需要注意的是新出现的Scarab家族。该家族的勒索病毒之前主要在俄罗斯进行传播,但是在7月份开始,国内出现有用户被该家族的勒索病毒感染,导致服务器宕机。
该勒索病毒的早期传播主要是利用Necurs僵尸网络进行传播,后期则使用了弱口令爆破的方式来植入病毒到用户机器。和GlobeImposter类似,该勒索病毒也使用了大量不同的文件后缀。下图是其中的一个变种:
图7.Scarab勒索病毒变种
GandCrab勒索病毒在7月初出现了新的版本――V4.0。并且在一个月内还进行了小版本的迭代更新,截止到本稿编写时,360捕获到的最新版本为V4.2。在更新版本的过程中,GandCrab曾因传播量较大导致有研究人员猜测其加入了SMB横向攻击来进行传播。但后经核实,该勒索病毒还未加入此类传播手段。在V3.0到V4.0这个大版本的更新中,主要更新点在于对文件的加密算法:该勒索病毒从最开始的使用RSA-2048加密算法变为了使用加密效率更高的Salsa2.0算法。
图8.GandCarb勒索病毒使用salsa算法
虽然国内GandCrab的感染量并不大,但是从360互联网的拦截数据来看,该家族的勒索病毒仍在持续不断进行传播。
图9.GandCrab传播趋势图
攻击数据以下是7月份以来黑客还在使用的勒索病毒联系邮箱(部分来自用户反馈)
dbger#protonmail.com gracey1c6rwhite#aol.com fire_show#tuta.io decrypthelp#qq.com crypted_katayama#cock_email badbusiness#tutanota.de backfiles2#aol.com reek#tuta.io kayla7tzpnthompson#aol.com y4XuA.fastrecovery#xmpp2.jp unlockmeplease#cock.li avarufilturner#aol.com recovery#foxmail.com xmail#cock.li reeman_dor#aol.com dbger#protonmail.com eight1.hundred symabkp#protonmail.com footballprom#tuta.io mrbin775#gmx.de mrbin775#protonmail.com bd.recovery#aol.com bd.recovery#india.com asgard2018#cock.li Diesel_space#aol.com bigbig_booty#india.com freeman.dor#aol.com reserve_player#aol.fr true_offensive#aol.com emilysupp#outlook.com Mrbin775#gmx.de firmabilgileri#bk.ru gardengarden#cock.li ghjujy#tuta.io servicedeskpay#protonmail.com dsupport#protonmail.com soft2018#tutanota.com newsoft2018#yandex.by soft2018#mail.ee表格2.黑客邮箱
防黑加固数据从7月份的防黑加固数据来看,被攻击的系统中Windows7占比是最高的,主要原因还是Windows7 的用户基数较大。
图10.防黑加固防护系统攻击分布
以下是根据7月份的放黑加固数据制作的被攻击地域分部图。从地图中可以看出,黑客攻击主要还是高发于经济发达地区和人口稠密地区这两类区域。
图11.被攻击分布图
对攻击数据进行分析发现,美国的IP占据了所有IP的大半部分,以下是攻击IP对应国家的TOP10的饼状图。
图12.攻击IP对应国家和地区TOP10
目前防黑加固已经支持对RDP, mysql, mssql的弱口令攻击进行拦截,以下是7月份的拦截数据。
图13.弱口令拦截趋势
从拦截趋势来看,拦截次数在本月主体呈现小幅上升趋势。通过对IP数据和被攻击用户的分析,发现原因是黑客加大了攻击频率,试图更高效的获取用户登录口令导致。
总结针对服务器的勒索病毒攻击已经成为当下勒索病毒的一个主要方向,企业应该加强自身的信息安全管理能力,尤其是弱口令,漏洞,文件共享和远程桌面的管理,在此我们给各位管理员一些建议:
多台机器,不要使用相同的账号和口令。 登录口令一定要复杂,采用大小写字母、数字、特殊符号混合的口令结构,且口令位数应足够长,并定期更换登录口令。 共享文件夹要设置访问权限管理。如果因为其他需要不能设置访问权限,则建议对该文件夹进行定期安全备份 定期检测系统和软件中的安全漏洞,及时打上补丁。